Notes de mise à jour des correctifs de sécurité d’Adobe Commerce 2.4.3
Ces notes de mise à jour des correctifs de sécurité capturent les mises à jour afin d’améliorer la sécurité de votre déploiement Adobe Commerce. Les informations incluent, sans s’y limiter, les éléments suivants :
- Correctifs de sécurité
- Éléments de sécurité qui fournissent plus de détails sur les améliorations et mises à jour incluses dans le correctif de sécurité
- Problèmes connus
- Instructions pour appliquer des correctifs supplémentaires si nécessaire
- Informations sur tous les correctifs inclus dans la version
En savoir plus sur les versions de correctif de sécurité :
- Présentation des versions de correctif de sécurité d’Adobe Commerce
- Les instructions de téléchargement et d’application des mises à jour des correctifs de sécurité sont disponibles dans le Guide de mise à niveau
Adobe Commerce 2.4.3-p3
La version de sécurité Adobe Commerce 2.4.3-p3 fournit des correctifs de sécurité pour les vulnérabilités identifiées dans les versions précédentes de la version 2.4.3. Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB22-38.
Appliquez AC-3022.patch pour continuer à proposer DHL comme opérateur de transport
DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent appliquer AC-3022.patch dès que possible pour continuer à proposer DHL en tant qu'opérateur de transport. Pour plus d’informations sur le téléchargement et l’installation du correctif, reportez-vous à l’article Appliquer un correctif pour continuer à proposer DHL comme opérateur de transport de la base de connaissances.
Mise en évidence de la sécurité
- Des ressources de liste de contrôle d’accès ont été ajoutées à l’inventaire.
- La sécurité du modèle d’inventaire a été améliorée.
Adobe Commerce 2.4.3-p2
La version de sécurité Adobe Commerce 2.4.3-p2 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans les versions précédentes. Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, reportez-vous à la section Bulletin de sécurité Adobe APSB22-13. La version de correctif résout également la vulnérabilité corrigée par MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch.zip, MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.zip,MDVA-43395_EE_2.4.3-p1_COMPOSER_v1.patch et MDVA-43443_EE_2.4.3-p1_COMPOSER_v1.patch.
Appliquez AC-3022.patch pour continuer à proposer DHL comme opérateur de transport
DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent appliquer AC-3022.patch dès que possible pour continuer à proposer DHL en tant qu'opérateur de transport. Pour plus d’informations sur le téléchargement et l’installation du correctif, reportez-vous à l’article Appliquer un correctif pour continuer à proposer DHL comme opérateur de transport de la base de connaissances.
Mise en évidence de la sécurité
-
L’utilisation des variables de messagerie a été abandonnée dans la version 2.3.4 dans le cadre d’une limitation des risques de sécurité au profit d’une syntaxe de variable plus stricte. Ce comportement hérité a été complètement supprimé dans cette version en tant que prolongement de cette limitation des risques de sécurité.
Par conséquent, les modèles de courrier électronique ou de newsletter qui fonctionnaient dans les versions précédentes peuvent ne pas fonctionner correctement après la mise à niveau vers Adobe Commerce 2.4.3-p2. Les modèles concernés incluent des remplacements d’administrateur, des thèmes, des thèmes enfants et des modèles provenant de modules personnalisés ou d’extensions tierces. Votre déploiement peut toujours être affecté même après l’utilisation de l’outil de compatibilité de mise à niveau pour corriger les utilisations obsolètes. Pour plus d’informations sur les effets potentiels et les directives relatives à la migration des modèles concernés, voir Migration des modèles d’email personnalisés .
-
Les jetons d’accès OAuth et les jetons de réinitialisation de mot de passe sont désormais chiffrés lorsqu’ils sont stockés dans la base de données.
-
La validation a été renforcée afin d’empêcher le téléchargement d’extensions de fichiers non alphanumériques.
-
Swagger est désormais désactivé par défaut lorsqu’Adobe Commerce est en mode de production.
-
Les développeurs peuvent désormais configurer la limite de taille pour les tableaux acceptés par les points d’entrée RESTful d’Adobe Commerce selon chaque point d’entrée. Voir Sécurité de l'API.
-
Ajout de mécanismes permettant de limiter la taille et le nombre de ressources qu’un utilisateur peut demander via une API web à l’échelle du système, ainsi que de remplacer les valeurs par défaut sur des modules individuels. Cette amélioration résout le problème résolu par
MC-43048__set_rate_limits__2.4.3.patch. Voir Sécurité de l'API.
2.4.3-p1
La version de sécurité Adobe Commerce 2.4.3-p1 fournit des correctifs de bogues de sécurité pour les vulnérabilités identifiées dans la version précédente (Adobe Commerce 2.4.3 et Magento Open Source 2.4.3). Cette version comprend également des améliorations de sécurité qui améliorent la conformité aux dernières bonnes pratiques en matière de sécurité.
Pour obtenir les informations les plus récentes sur les correctifs de bogues de sécurité, voir Bulletin de sécurité Adobe APSB21-86. La version de correctif fournit également des correctifs pour les extensions Braintree, Klarna et Vertex développées par des fournisseurs.
Appliquez AC-3022.patch pour continuer à proposer DHL comme opérateur de transport
DHL a introduit la version 6.2 du schéma et va abandonner la version 6.0 dans un avenir proche. Adobe Commerce 2.4.4 et les versions antérieures qui prennent en charge l’intégration DHL ne prennent en charge que la version 6.0. Les commerçants qui déploient ces versions doivent appliquer AC-3022.patch dès que possible pour continuer à proposer DHL en tant qu'opérateur de transport. Pour plus d’informations sur le téléchargement et l’installation du correctif, reportez-vous à l’article Appliquer un correctif pour continuer à proposer DHL comme opérateur de transport de la base de connaissances.
Correctifs
Cette version inclut le correctif suivant, ainsi que tous les correctifs qui ont été publiés pour la version précédente du correctif.
- Correctif
AC-384__Fix_Incompatible_PHP_Method__2.3.7-p1_ce.patch to address PHP fatal error on upgrade. Pour plus d’informations sur le correctif et le problème, reportez-vous à l’article Correctif d’erreur fatale PHP Adobe Commerce 2.4.3, 2.3.7-p1de la base de connaissances.
Mise en évidence de la sécurité
Les ID de session ont été supprimés de la base de données. Ce changement de code peut entraîner des modifications rompues si les marchands disposent de personnalisations ou d’extensions installées qui utilisent les ID de session bruts stockés dans la base de données.
Accès d’administrateur restreint aux dossiers de la galerie multimédia. Les autorisations de galerie de médias par défaut autorisent désormais uniquement les opérations de répertoire (affichage, chargement, suppression et création) autorisées explicitement par la configuration. Les utilisateurs administrateurs ne peuvent plus accéder aux ressources multimédias par le biais de la galerie de médias qui ont été chargées en dehors des répertoires catalog/category ou wysiwyg. Les administrateurs qui souhaitent accéder aux ressources multimédia doivent les déplacer vers un dossier explicitement autorisé ou ajuster leurs paramètres de configuration. Voir Modification des autorisations de dossier Media Library.
Limites réduites à la complexité des requêtes GraphQL. La complexité de requête maximale autorisée par GraphQL a été réduite afin d’éviter les attaques par déni de service (DOS). Voir Configuration de la sécurité GraphQL.
Des vulnérabilités de test de pénétration récentes ont été corrigées dans cette version.
L’expression source non prise en charge unsafe-inline a été supprimée de la directive Content Security Policy frame-ancestors . GitHub-33101